DOSSIER : CNSS Leaks

Cyberattaque contre la CNSS. « Télécharger, stocker ou exploiter les données fuitées sans consentement est illégal » (avocat)

À la suite de la cyberattaque visant la Caisse nationale de la sécurité sociale (CNSS), les données personnelles de près de deux millions de salariés et d’environ 500.000 entreprises se retrouvent désormais exposées sur le Web. Cette situation soulève de nombreuses interrogations quant à leur utilisation potentielle, leur diffusion ou encore leur téléchargement.

Contacté par Médias24, un avocat au barreau de Casablanca nous confirme qu’il est illégal de télécharger, de garder et d’exploiter les données fuitées sans le consentement des personnes concernées.

« Il ne suffit pas que les données soient ‘disponibles’ pour qu’elles deviennent exploitables légalement »

« L’accessibilité technique des données personnelles sur une interface publique ou non sécurisée n’altère en rien leur statut juridique protégé », explique notre source.

« Ces données, dès lors qu’elles permettent d’identifier, directement ou indirectement, une personne physique, relèvent pleinement du champ d’application de la loi n° 09-08, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ».

« Leur téléchargement, leur stockage ou toute autre forme d’exploitation sans base légale valable, notamment sans le consentement exprès de la personne concernée ou sans autorisation préalable de la Commission nationale de contrôle de la protection des données à caractère personnel (CNDP), constituent ainsi un traitement illicite au sens de ladite loi ».

« Il ne suffit donc pas que les données soient ‘disponibles’ pour qu’elles deviennent exploitables légalement. »

Ces propos rejoignent le communiqué publié par la CNDP ce jeudi 10 avril, selon lequel « elle se tient prête à recevoir et traiter les plaintes de toute personne physique estimant être victime de fuites ou de publication illicite de données personnelles », rappelant que « le traitement licite de données à caractère personnel repose sur le consentement éclairé de la personne concernée ou sur un cadre légal autorisé par la loi n° 09-08″.

Ainsi, « toute information obtenue en dehors de ce cadre est illicite et son utilisation constitue une infraction« .

« La CNSS n’est pas à l’abri d’un recours si l’expertise confirme sa responsabilité ou sa négligence »

Notre source nous confie par ailleurs que la CNSS n’est pas à l’abri d’un recours, si l’expertise technique confirme sa responsabilité ou sa négligence.

« Certes, à ce stade, la CNDP ne confirme pas encore de faute directe de la CNSS, mais elle indique clairement qu’une analyse technique approfondie est en cours« , nous explique l’avocat.

« Si cette analyse révèle une faille de sécurité prévisible, un manquement organisationnel grave ou toute violation de la loi en vigueur, la CNSS pourrait être juridiquement mise en cause ».

Et de conclure : « Ce qui est certain, c’est que tant que les conclusions de la CNDP ne sont pas rendues publiques, toute incrimination prématurée serait juridiquement infondée ».

Tags :

CNSS cyberattaque

Kenza Khatla

Journaliste Medias24

Voir tous ses articles